Antivirus

Disambiguazione – Se stai cercando altri significati di questo termine, vedi Antivirus (disambigua).

Questa voce o sezione sull'argomento informatica è ritenuta non neutrale. Motivo: Svariati punti poco chiari uniti a stereotipi frequenti Per contribuire, correggi i toni enfatici o di parte e partecipa alla discussione. Non rimuovere questo avviso finché la disputa non è risolta. Segui i suggerimenti del progetto di riferimento.

Questa voce o sezione sull'argomento informatica non cita alcuna fonte o le fonti presenti sono insufficienti. Puoi migliorare questa voce aggiungendo citazioni da fonti attendibili secondo le linee guida sull'uso delle fonti. Segui i suggerimenti del progetto di riferimento.

Un anti-virus, spesso chiamato anche antivirus o AntiVirus e abbreviato in AV, è un software atto a prevenire, rilevare ed eventualmente eliminare programmi dannosi (noti come malware), quali: virus informatici, adware, backdoor, BHO, dialer, fraudtool, hijacker, keylogger, LSP, rootkit, spyware, trojan, worm e molti altri ancora.

Al giorno d'oggi, tuttavia, un classico AntiVirus da solo non è più in grado di proteggere un computer da tutte le minacce esistenti, quali ad esempio: attacchi cibernetici, Advanced Persistent Threat (APT), botnets, DDoS attack, phishing, scams, social engineering o spam. Quindi, la "sicurezza informatica" è generalmente offerta in prodotti e servizi dalle aziende produttrici di software AntiVirus. Questa pagina descrive il software utilizzato per la prevenzione, l'identificazione e la rimozione di malware, piuttosto che la sicurezza informatica attuata con metodi software (ad esempio AntiSpam, Firewall, IDS, ...).

Introduzione[modifica]

Un antivirus da solo, per quanto affidabile ed efficiente, non è una protezione totale contro il 100% dei virus informatici esistenti al mondo. Inoltre, un antivirus si basa su determinate regole e algoritmi scritti da esseri umani, e pertanto queste possono portare a errori (falsi positivi) e/o a decisioni sbagliate. Alcune funzioni di controllo sono più specializzate in un software Antispyware che a sua volta può avere funzioni di Antivirus ma non ai massimi livelli.

Dal punto di vista tecnico ci sono svariati metodi che si possono utilizzare per prevenire e individuare malware.

Signatures[modifica]

Il metodo delle signatures, ovvero delle firme, è forse ad oggi quello più utilizzato. Questo metodo, sostanzialmente, prevede il confronto del file da analizzare con un archivio in cui sono schedati tutti i malware conosciuti, o meglio le loro firme. Ovviamente l'efficienza di tale metodo si basa sulla completezza dell'archivio, diverso per ogni casa produttrice di software antivirus, e sulla velocità del software nell'eseguire il confronto tra il file e la firma.

L'archivio viene creato analizzando tutti i file presunti dannosi con cui si viene a contatto. Una volta trovato un file presunto dannoso, una casa produttrice di software antivirus, dovrà quindi analizzarlo e, eventualmente, aggiungere la firma di tale file al suo archivio. Risulta abbastanza chiaro che tutte le vulnerabilità di un sistema operativo (zero-day) e i malware non ancora scoperti, o semplicemente non ancora analizzati, non possono ovviamente far parte di un determinato archivio. Quindi, di fatto, questo metodo non può portare alla rilevazione totale di tutti i malware esistenti in un determinato momento, in quanto è presumibile pensare che esisteranno sempre dei malware non ancora scoperti e/o analizzati. Neppure l'utilizzo incrociato di tutti i software antivirus esistenti al mondo potrebbe assicurare la completa inattaccabilità di un computer. Tuttavia, nonostante questo, il metodo delle signatures rimane uno dei metodi più efficienti e consolidati nell'industria del settore. Questo anche perché non tutti i malware si diffondono con la stessa rapidità e con la stessa intensità. Più un malware è infettivo, infatti, e più è probabile che sia arrivato nelle mani dei ricercatori delle aziende produttrici di software antivirus. Quindi, sebbene il metodo utilizzato non garantisca l'assoluta inviolabilità, garantisce comunque una sicurezza abbastanza elevata dai malware più diffusi. Inoltre, bisogna anche considerare che molti dei malware esistenti non sono "in the wild", ossia sono "zoo virus" la cui esistenza è limitata ai centri di ricerca antimalware.

Sandbox[modifica]

Alcuni antivirus provano ad eseguire a run-time in una sandbox i file eseguibili e, tramite l'analisi del comportamento di tali eseguibili, riescono a capire se si tratti di eseguibili che contengono codice malevolo o meno. Questo metodo, se basato su buoni algoritmi, può essere molto preciso. Ovviamente, però, l'esecuzione all'interno di una sandbox richiede prestazioni e tempi di esecuzione più elevati rispetto ad un metodo basato sulle signatures.

Data mining[modifica]

Uno dei più recenti metodi per la rilevazione di malware consiste nell'utilizzo di avanzati algoritmi di data mining. Questi algoritmi utilizzano caratteristiche dei file, estratte direttamente dai file binari, per classificare un eseguibile come malevolo o no.^{[1][2][3][4][5][6][7][8][9][10][11][12][13][14]}

Funzionamento[modifica]

Uno dei principali metodi di funzionamento degli antivirus si basa sulla ricerca nella memoria RAM e/o all'interno dei file presenti in un computer di uno schema tipico di ogni virus (in pratica ogni virus è composto da un numero ben preciso di istruzioni (codice) che possono essere viste come una stringa di byte, il programma non fa altro che cercare se questa sequenza è presente all'interno dei file o in memoria). Uno schema viene anche detto "firma del virus". Il successo di questa tecnica di ricerca si basa sul costante aggiornamento degli schemi che l'antivirus è in grado di riconoscere, aggiornamento effettuato solitamente da un gruppo di persone in seguito alle segnalazioni degli utenti e da gruppi specializzati nell'individuazione di nuovi virus.

Esiste anche un'altra tecnica di riconoscimento detta "ricerca euristica" che consiste nell'analizzare il comportamento dei vari programmi alla ricerca di istruzioni sospette perché tipiche del comportamento dei virus (come la ricerca di file o routine di inserimento all'interno di un altro file) o ricercare piccole varianti di virus già conosciuti (variando una o più istruzioni è possibile ottenere lo stesso risultato con un programma leggermente differente).

Parti che compongono l'antivirus[modifica]

Con il termine antivirus in realtà si intendono più parti differenti, alcune indipendenti tra di loro:

1. il file (o i file) delle firme: file che contiene tutte le firme dei virus conosciuti. Questa parte è fondamentale ed essenziale per il funzionamento corretto di qualsiasi altro componente
2. il binario in grado di ricercare il virus all'interno dell'elaboratore. Questo componente è l'antivirus vero e proprio
3. il binario che rimane residente e richiama l'antivirus ogni qual volta viene creato/modificato un nuovo file o viene modificata una zona di memoria per controllare che il computer non sia stato infettato con questa operazione
4. il binario che effettua gli update (aggiornamento) del file delle firme e di tutti i binari dell'antivirus

Nota: alcuni software antivirus possono essere sprovvisti di una o di entrambe le parti 3 e 4

Limiti di un antivirus[modifica]

Bisogna ricordare che l'antivirus è in grado di eliminare prima di tutto soltanto i virus che riconosce, quindi tutti i nuovi virus (per nuovi si intende sia virus che il proprio antivirus non riconosce, sia quelli che non sono ancora stati scoperti) possono passare completamente inosservati ed agire senza che l'antivirus intervenga. Inoltre l'antivirus riesce ad intercettare il virus soltanto quando questo è entrato all'interno del computer e quindi ha già infettato un file o la memoria; a questo punto, a seconda del virus, può "disinfettare" il file o la memoria eliminando completamente il virus o in alcuni casi è costretto a mettere in "quarantena" il file contagiato ed eliminarlo per l'impossibilità di recuperare il file originario.

Occorre aggiornare continuamente il proprio antivirus per evitare che malware già riconosciuti (cioè già immessi nella lista del database online del software) non siano riconosciuti e quindi possano infettare il proprio PC.

L'antivirus inoltre è un grande utilizzatore delle risorse del computer e se viene avviato in background ogni volta che viene acceso il computer può comportare un forte rallentamento soprattutto nelle fasi iniziali (perché controlla prima tutta la memoria e poi tutti i file, che rientrano nella ricerca selezionata durante la fase configurazione, su disco); tale rallentamento è presente anche in tutte le fasi in cui si scrive su disco, benché ciò possa risultare più trascurabile. Per tali motivi l'antivirus accelera l'obsolescenza del proprio computer, creando la necessità di aggiornarne alcune parti o prenderne uno nuovo per ottenere delle prestazioni che siano accettabili per l'utente.

La scelta di un antivirus è una cosa molto complessa, anche perché antivirus diversi possono riuscire a rintracciare e quindi a controllare i nuovi virus prima di altri.

La scoperta di un nuovo virus dipende molto da quanto è "infettivo": più un virus si propaga velocemente, più veloce e semplice risulta essere la sua identificazione e quindi l'aggiornamento delle firme; se invece il virus tende ad essere molto poco "infettivo" ed a rimanere localizzato soltanto in una certa area, può passare molto tempo prima che venga intercettato e aggiunto alle firme.

Succede più volte che un antivirus consideri dei file o programmi come virali anche se in realtà non lo siano (falso positivo). Questo è dovuto al fatto che un insieme di istruzioni che compongono un virus (o una sua parte) può essere presente anche in programmi e file "normali" o possono essere ottenuti come combinazione casuale in un file di dati salvati non in formato testo. Il problema principale è che si può non riuscire ad eseguire questo programma od aprire il file rilevato come infetto se prima non si disabilita l'antivirus, sempre che l'antivirus non lo abbia cancellato o rovinato in modo irreparabile nel frattempo.

Ci sono numerosi metodi per criptare e compattare un codice malware rendendolo così non rintracciabile da un antivirus; su questo fronte molti antivirus non sono attrezzati e riescono a fare ben poco, ma anche gli altri possono non essere in grado di rilevare un file infetto se non quando questo entra in esecuzione: il virus viene scompattato in RAM per essere eseguito e solo in questo momento l'antivirus sarà in grado di rintracciarlo.

Tecnologia euristica[modifica]

La tecnologia euristica è un componente di alcuni antivirus che consente di rilevare alcuni programmi maligni non noti all'antivirus, cioè non contenuti nel suo database dei malware.

Questa tecnologia non sempre è presente all'interno di un antivirus e non sempre garantisce buoni risultati.

Modi per implementare la tecnologia euristica[modifica]

La tecnologia euristica può essere implementata in più modi, anche operanti in contemporanea. I metodi più utilizzati sono, in ordine crescente di efficacia:

• Analisi dei file: Ogni file a cui l'utente o il sistema fanno accesso viene analizzato per verificare che non abbia una struttura sospetta o contenga istruzioni potenzialmente pericolose. Se impostata ad un livello troppo sensibile, questo tipo di euristica può causare riconoscimenti errati di file "puliti" come pericolosi ("falsi positivi"). Allo stesso modo se impostata ad un livello troppo permissivo può rivelarsi pressoché inutile.

• Analisi comportamentale: Ogni processo eseguito nel computer viene monitorato e si segnalano all'utente le azioni potenzialmente pericolose, come gli accessi al registro di sistema dei computer Windows o le comunicazioni con altri processi. Questo approccio è utilizzato da vari antivirus e firewall.

• Sand-Box: Gli antivirus che utilizzano questa tecnica eseguono ogni processo del computer all'interno di un'area protetta, chiamata Sand-Box, e monitorano il comportamento del programma: se non vengono effettuate azioni pericolose il processo viene eseguito sulla macchina fisica, altrimenti il processo viene terminato e il relativo file eliminato o messo in quarantena. Questo approccio viene utilizzato da pochi antivirus in quanto degrada molto le prestazioni del computer ma garantisce i risultati migliori.

Il firewall: ulteriore protezione contro i virus[modifica]

Per quello che si è detto si capisce che per avere un sistema sicuro l'antivirus non è affatto sufficiente, occorre una protezione ulteriore: il firewall. Un firewall permette, se ben configurato ed usato correttamente, di bloccare i virus, anche se non conosciuti, prima che questi entrino all'interno del proprio computer e volendo permette anche di bloccare all'interno alcuni virus presenti nel proprio computer evitando così che essi possano infettare la rete a cui si è collegati. Un firewall quindi può essere uno strumento aggiuntivo che impedisce ad un virus di infettare la macchina prima che possa essere individuato dall'antivirus (con la possibile perdita del file infetto). Inoltre permette di nascondere parzialmente o totalmente la macchina sulla rete evitando attacchi dei cracker o degli stessi virus.

Aggiornamenti automatici Live-Update[modifica]

Una delle funzionalità aggiuntive dei software AntiVirus, che ultimamente sta prendendo sempre più piede, è il modulo degli aggiornamenti automatici Live-Update. Con tale modulo il software AntiVirus si aggiornerà automaticamente non appena sia disponibile una connessione Internet. Gli aggiornamenti possono riguardare le firme di autenticazione dei virus e/o anche i motori di scansione e i motori euristici (funzionalità non sempre rilasciata). Il primo software AntiVirus ad introdurre gli aggiornamenti automatici Live-Update è stato Norton Antivirus della Symantec.

Antivirus e Sistemi Operativi[modifica]

Con l'avvento di internet l'antivirus è diventato uno strumento quasi indispensabile e quasi esclusivo per i sistemi operativi rilasciati da Microsoft, mentre gli altri sistemi risultano meno attaccati da virus; per questo motivo la maggior parte degli antivirus è realizzata per i sistemi operativi Microsoft. Negli ultimi anni sono stati prodotti antivirus anche per altri sistemi, di solito usati come server, per poter controllare il flusso di dati, soprattutto e-mail, che poi finiranno sui computer desktop degli utenti che usano prodotti Microsoft.

Con altri Sistemi operativi basati Linux e Mac OS, la diffusione dei virus è molto più ostacolata soprattutto dalla diversa politica gestionale; i programmi utenti hanno attività più strettamente specificate e soprattutto con privilegi molto ridotti, così sono molto difficili le attivita dei virus, e sono altrettanto limitati i danni che da questi potrebbero scaturire nell'esecuzione; risulta quindi molto difficile causare una compromissione del sistema operativo, come invece accade spesso nei sistemi Microsoft.

Antivirus e programmi[modifica]

I programmi che maggiormente permettono la diffusione dei virus sono i client di posta elettronica ed i browser, questo perché questi due programmi sono l'accesso diretto a due funzionalità indispensabili in internet: la posta e la navigazione web.

Un'altra tipologia di software informatico molto colpito dai virus è quella composta dai file di dati ricavati con Microsoft Office. Con questa suite è possibile creare all'interno dei file delle istruzioni (macro) che eseguono date funzionalità in modo automatico o sulla pressione di una determinata combinazione di tasti. Molti virus writer sfruttano questa potenzialità per allegare delle macro che sono in realtà dei virus.

In generale i virus sfruttano delle vulnerabilità nei sistemi informatici, usando a volte - in modo automatico - tecniche di penetrazione sviluppate dai cracker. Diverse organizzazioni, oltre ai produttori di software antivirus, si occupano di raccogliere le segnalazioni di vulnerabilità o attacchi, e renderle pubblicamente disponibili; tali organizzazioni sono normalmente note con l'acronimo di CERT ("Computer Emergency Response Team", squadra di risposta alle emergenze informatiche).

Clienti di posta[modifica]

Tra i clienti di posta spicca l'uso di Outlook Express, preinstallato, nella versione base, su tutti i sistemi operativi Microsoft; naturalmente anche altri client di posta, se funzionanti su sistema Microsoft, non sono immuni o totalmente immuni dall'essere un veicolo usato dai virus. Outlook Express unito all'inesperienza dell'utente, è forse la prima forma di^{[senza fonte]} diffusione di alcuni tipi di malware. Outlook Express per default memorizza tutti gli indirizzi E-Mail dai contatti prelevati in modo automatico da tutte le mail ricevute o spedite, questo fa sì che se un utente si iscrive, per esempio, ad una mailing list può alla fine avere un insieme di indirizzi di dimensioni considerevoli; questa base di dati viene sfruttata dai virus per spedire delle mail e per cercare di espandere l'infezione. I virus di ultima generazione sfruttano questi elenchi di indirizzi per nascondere il vero mittente, prendendo a caso due indirizzi, uno da usare come destinatario e l'altro da far risultare come mittente. Il problema di base è dovuto all'utente che apre ed esegue gli allegati anche di mail che sono palesemente portatrici di virus, ma anche i buchi presenti in questi software hanno la loro parte. Per esempio Outlook Express ha sofferto di svariati buchi molto critici che permettevano, per esempio, l'esecuzione del virus appena la mail era ricevuta all'interno del proprio client (quindi senza aprirla) o appena la si apriva (nella firma è possibile inserire delle istruzioni, istruzioni usate per attivare il virus).

La prima causa di diffusione dei virus tramite i client di posta è l'esecuzione degli allegati e qui non esiste un client di posta che possa impedire la diffusione del virus se l'antivirus non riesce ad intercettarlo prima.

Browser[modifica]

Anche i browser possono essere un veicolo per l'infezione, basta che vi sia un buco di sicurezza (vulnerabilità) sfruttato da un sito WEB che si visita. Come per i client di posta si ha che su tutti i sistemi operativi di Microsoft l'utente si trova installato Internet Explorer e, anche a causa della sua diffusione, risulta proprio questo browser il più soggetto a questi tipi di attacchi, tanto che ultimamente è stato consigliato da più fonti di usare altri browser^[15] soprattutto se si fanno delle transazioni a rischio (per esempio se si accede al proprio conto corrente).

Client IRC e IM[modifica]

I clienti dei sistemi di messaggistica immediata posseggono la capacità di inviare e ricevere file ed inoltre spesso sono dotati di un linguaggio di scripting che è stato spesso sfruttato per diffondere virus, backdoor e dialer.

L'uso di questi programmi deve tenere in gran conto che l'utente che offre un file non corrisponde sempre necessariamente ad una persona reale, dal momento che molti virus si diffondono automaticamente. È consigliabile rifiutare gli invii a meno che non si abbia effettivamente richiesto o si desideri qualcosa da un utente conosciuto e non si abbia la protezione di un antivirus che effettua l'esame dei file, anche compressi, in tempo reale.

Possibile strategia per limitare al minimo i rischi di contagio[modifica]

La strategia che si può suggerire può essere suddivisa nei seguenti punti:

• informarsi su cosa è un virus, un antivirus ed un firewall; consultare vari manuali reperibili anche on-line per capire abbastanza a fondo il problema
• informarsi su come funziona il proprio sistema operativo, il proprio client di posta ed il proprio browser in caso di "attacco" di virus, per poter capire quali sono le operazioni che permettono di limitare al minimo i rischi di contagio
• quando si naviga in internet evitare di scaricare file eseguibili e soprattutto di eseguirli senza avere la certezza assoluta che la fonte sia attendibile. Se l'antivirus dichiara che non ha rilevato nessun virus sul binario scaricato, questo non vuol dire che non è contagiato, ma semplicemente che l'antivirus non ne ha rilevato nessuno: infatti potrebbe contenere un nuovo virus o magari il vostro antivirus non è aggiornato
• quando si naviga su internet evitare di scaricare add-on ai propri programmi di navigazione se non si è più che sicuri della fonte
• quando si naviga in internet evitare di andare su siti che soprattutto offrono gratis cose che in realtà sono a pagamento, perché molte volte queste pagine cercano di sfruttare buchi presenti nel proprio browser per: installarvi un virus, reperire informazioni salvate sul vostro PC (esempio la carta di pagamento se fate acquisti on-line) o semplicemente permettere al cracker che ha costruito quel sito di prendere possesso da remoto del vostro computer
• quando si riceve una e-mail da uno sconosciuto, soprattutto se ha un allegato, è sempre meglio eliminarla e mai aprire l'allegato od eseguirlo; se la mail arriva da un vostro conoscente ed ha un allegato non previsto o inaspettato chiedere conferma se l'ha spedito effettivamente lui
• quando si ricevono mail con file eseguibili, anche se spedite da un proprio conoscente, conviene sempre evitare di eseguirli. È meglio perdersi un filmato od un giochino divertente che vedere il proprio computer compromesso e doverlo reinstallare o far reinstallare da zero, magari perdendo tutti i lavori in esso contenuti
• quando si spediscono e-mail evitare di includere messaggi in formato ms-office, ma spedirli in formato testo o altro formato non contenente macro; richiedere che anche i propri conoscenti facciano lo stesso quando spediscono delle mail a voi
• abilitare, in ms-office, la richiesta per l'esecuzione delle macro; in questo modo sarà possibile sapere se il file contiene delle macro ed impedirne l'esecuzione.
• evitare di eseguire programmi non originali o per cui non è possibile controllarne la non compromissione (per esempio per tutti i file è possibile associare vari codici di protezione che permettono di identificare se il pacchetto è stato modificato da altri. Il più semplice di questi è l'MD5)
• informarsi di quali sono i prodotti che nella storia recente hanno mostrato maggiori falle e permesso un più semplice contagio da parte degli ultimi virus e se possibile sostituirli all'interno del proprio elaboratore con programmi simili, ma che risultano più sicuri
• controllare costantemente gli aggiornamenti di sicurezza per tutti i prodotti che si affacciano direttamente alla rete (sistema operativo, browser, client di posta, client irc, ...)
• mantenere sempre aggiornati antivirus, firewall ed altri programmi per la sicurezza.

Test comparativi di software AntiVirus[modifica]

Una discussione infinita riguarda se i software AntiVirus sono inutili e solo uno spreco di denaro o meno. In novembre 2012 Imperva, una società di sicurezza informatica molto discussa, ha pubblicato uno studio nel quale sosteneva che meno del 5% delle soluzioni AntiVirus erano in grado di rilevare virus precedentemente non catalogati.^[16][17] Questo studio è stato ampliamente criticato non solo da quasi tutte le società produttrici di software AntiVirus, ma anche dalla maggior parte delle altre compagnie che lavorano nel mondo della sicurezza informatica.^[18][19][20] La principale critica è legata alle dimensioni del campione di studio. Infatti, il test ha utilizzato solamente 84 campioni su i milioni di malware esistenti per Windows. Un'altra critica ha riguardato il fatto che lo studio è stato effettuato utilizzando i report di VirusTotal piuttosto che i reali prodotti e, come la stessa VirusTotal precisa: "At VirusTotal we are tired of repeating that the service was not designed as a tool to perform antivirus comparative analyses, but as a tool that checks suspicious samples with several antivirus solutions and helps antivirus labs by forwarding them the malware they fail to detect. Those who use VirusTotal to perform antivirus comparative analyses should know that they are making many implicit errors in their methodology, the most obvious being...". ^[21] Questo è principalmente dovuto al fatto che le compagnie produttrici di software AntiVirus non forniscono a VirusTotal le esatte configurazioni dei prodotti reali.^[22] Inoltre, VirusTotal non esegue i malware con i prodotti già installati. Questo significa che tutte le tecnologie euristiche e comportamentali, e la scansione della memoria non sono utilizzate. E così i risultati del rilevamento sono scarsi rispetto ai prodotti completi. Un altro aspetto che è stato criticato è stata la "rilevanza" dei campioni. Infatti, il set di campioni dovrebbe includere solo campioni che sono stati verificati infettivi. Valutare la protezione degli AntiVirus utilizzando campioni di prova che non rappresentano alcun pericolo non ha semplicemente alcun senso.

Per questa, e altre ragioni, la Anti-Malware Testing Standards Organization (AMTSO) fornisce linee guida per il testing di prodotti AntiMalware.^[23]

Organizzazioni che forniscono test comparativi[modifica]

• AV-Comparatives
• AV Test
• ICSA Labs
• Virus Bulletin

Virus Bulletin VB100[modifica]

Il VB100 è un premio dato da Virus Bulletin e rappresenta uno dei più antichi e famosi riconoscimenti per i software AntiVirus. Stando a quanto pubblicato da Virus Bulletin^[24] le uniche società di cui almeno uno dei loro prodotti è stato iscritto al test per almeno 3 volte e ha sempre ottenuto il VB100 per la categoria di Windows 7 sono:

• AVG^[25]
• Avira^[26]
• BullGuard^[27]
• ESET^[28]
• Emsisoft^[29]
• Frisk^[30]
• G Data^[31]
• Kaspersky^[32]
• F-Secure^[33]

Curiosamente, non c'è neanche una società che non abbia fallito il test almeno una volta nella categoria di Windows XP.

Per le categorie di Red Hat Enterprise Linux e di Ubuntu Linux Server Edition, invece, le società sono:

• Avira^[34]
• ESET^[35]
• Sophos^[36]

Questioni giuridiche e regolamentazione globale[modifica]

Una delle principali battaglie e delle lamentele dell'industria degli AntiVirus è quella relativa alla creazione di una regolamentezione unificata e globale, una base di regole comuni per giudicare legalmente, ed eventualmente punire, i crimini informatici e i criminali informatici. Infatti, ancora oggi, anche se una società produttrice di AntiVirus dovesse riuscire a scoprire chi è il criminale informatico dietro alla creazione di un particolare virus o di un malware, spesso le autorità locali non possono comunque agire.^[37][38] Questo è principalmente dovuto al fatto che praticamente ogni stato ha una sua propria regolamentazione, differente da quella degli altri stati.

"[Computer viruses] switch from one country to another, from one jurisdiction to another — moving around the world, using the fact that we don't have the capability to globally police operations like this. So the Internet is as if someone [had] given free plane tickets to all the online criminals of the world."^[39] (Mikko Hyppönen)

Ed è anche grazie ad alcune società europee produttrici di AntiVirus (e.g. Avira, BullGuard, F-Secure, Frisk, Panda, TG Soft, ...) che, per risolvere il problema, la Commissione Europea ha deciso di fondare l'EC3 (European Cybercrime Centre).^[40] L'EC3 è stato ufficialmente aperto il primo gennaio 2013. L'EC3 si focalizzerà nella lotta della UE contro i crimini informatici.^[41]

Organizzazioni di ricerca AntiVirus[modifica]

• Anti-Malware Testing Standards Organization
• AVAR (Association of antiVirus Asia Researchers)
• CARO (Computer Antivirus Research Organization)
• EICAR (European Institute for Computer Antivirus Research)

Note[modifica]

1. ^ A Machine Learning Approach to Anti-virus System
2. ^ Data Mining Methods for Malware Detection
3. ^ Data mining and Machine Learning in Cybersecurity
4. ^ Analysis of Machine learning Techniques Used in Behavior-Based Malware Detection
5. ^ A survey of data mining techniques for malware detection using file features
6. ^ Intelligent automatic malicious code signatures extraction
7. ^ Malware Detection by Data Mining Techniques Based on Positionally Dependent Features
8. ^ Data mining methods for detection of new malicious executables
9. ^ IMDS: Intelligent Malware Detection System
10. ^ Learning to Detect and Classify Malicious Executables in the Wild
11. ^ Malware detection using statistical analysis of byte-level file content
12. ^ An intelligent PE-malware detection system based on association mining
13. ^ Malware detection based on mining API calls
14. ^ "Andromaly": a behavioral malware detection framework for android devices
15. ^ Francia e Germania sconsigliano Internet Explorer
16. ^ [www.imperva.com/docs/HII_Assessing_the_Effectiveness_of_Antivirus_Solutions.pdf Assessing the Effectiveness of Antivirus Solutions]
17. ^ [www.nytimes.com/2013/01/01/technology/antivirus-makers-work-on-software-to-catch-malware-more-effectively.html?pagewanted=2&_r=2&ref=technology Outmaneuvered at Their Own Game, Antivirus Makers Struggle to Adapt]
18. ^ On the Topic of AV Being Useless
19. ^ That Anti-Virus Test You Read Might Not Be Accurate, and Here’s Whys
20. ^ Do you really need Anti Virus protection? Go on uninstall it then
21. ^ BAD IDEA: VirusTotal for antivirus/URL scanner
22. ^ On the Topic of AV Being Useless
23. ^ publisher=AMTSO Anti-Malware Testing Standards Organization
24. ^ VB100 vendors
25. ^ VB100 Results History: AVG
26. ^ VB100 Results History: Avira
27. ^ VB100 Results History: BullGuard
28. ^ VB100 Results History: ESET
29. ^ VB100 Results History: Emsisoft
30. ^ VB100 Results History: Frisk
31. ^ VB100 Results History: G Data
32. ^ VB100 Results History: Kaspersky
33. ^ VB100 Results History: F-Secure
34. ^ VB100 Results History: Avira
35. ^ VB100 Results History: ESET
36. ^ VB100 Results History: Sophos
37. ^ Mikko Hypponen: Fighting viruses, defending the net
38. ^ Mikko Hypponen - Behind Enemy Lines
39. ^ Mikko Hypponen: Fighting viruses, defending the net
40. ^ European Cybercrime Centre set for launch
41. ^ Europol European Cybercrime Centre (EC3)

Bibliografia[modifica]

• Peter Szor, The Art of Computer Virus Research and Defense, Addison-Wesley 2005, ISBN 0-321-30454-3

Voci correlate[modifica]

• Antispyware
• Firewall
• Malware
• Spyware
• Trojan
• Virus (informatica)
• Worm

Altri progetti[modifica]

• Commons contiene immagini o altri file su Antivirus

Collegamenti esterni[modifica]

• CARO - Computer Antivirus Research Organization
• EICAR - European Institute for Computer Antivirus Research
• AVAR - Association of anti Virus Asia Researchers
• AMTSO - Anti-Malware Testing Standards Organization
• Antivirus in Tesauro del Nuovo Soggettario. BNCF, marzo 2013
• EC3 - European Cybercrime Centre

Portale Sicurezza informatica: accedi alle voci di Wikipedia che trattano di Sicurezza informatica